CISA alerta sobre falhas críticas nos sistemas de sequenciamento de DNA da Illumina
2 de Maio de 2023

A Agência de Segurança de Infraestrutura Cibernética dos EUA (CISA) e a FDA emitiram um alerta urgente sobre duas vulnerabilidades que afetam o Serviço de Cópia Universal (UCS) da Illumina, usado para sequenciamento de DNA em instalações médicas e laboratórios em todo o mundo.

"Um ator malicioso não autenticado poderia fazer upload e executar código remotamente no nível do sistema operacional, o que poderia permitir que um invasor alterasse configurações, configurações de software ou acessasse dados sensíveis no produto afetado", adverte um aviso da CISA divulgado ontem.

A Illumina é uma empresa de tecnologia médica sediada na Califórnia que desenvolve e fabrica máquinas avançadas de bioanálise e sequenciamento de DNA.

Os dispositivos da empresa são um dos mais amplamente utilizados para sequenciamento de DNA em configurações clínicas, organizações de pesquisa, instituições acadêmicas, empresas de biotecnologia e empresas farmacêuticas em 140 países.

"Em 5 de abril de 2023, a Illumina enviou notificações aos clientes afetados instruindo-os a verificar seus instrumentos e dispositivos médicos em busca de sinais de possível exploração da vulnerabilidade", diz um aviso da FDA.

"Alguns desses instrumentos possuem um modo de inicialização dupla que permite ao usuário operá-los no modo de diagnóstico clínico ou no modo RUO.

Dispositivos destinados ao RUO estão geralmente em estágio de desenvolvimento e devem ser rotulados como 'Somente para uso em pesquisa.

Não para uso em procedimentos diagnósticos' - embora alguns laboratórios possam estar usando-os com testes para uso diagnóstico clínico".

A primeira vulnerabilidade é rastreada como CVE-2023-1968 (pontuação CVSS v3: 10.0, "crítica").

Isso permite que invasores remotos se vinculem a endereços IP expostos, permitindo que um invasor não autenticado ouça todo o tráfego de rede para encontrar outros hosts vulneráveis em uma rede.

O impacto potencial dessa falha inclui o envio de comandos ao software afetado, modificação de configurações e acesso potencial a dados.

A segunda falha é CVE-2023-1966 (pontuação CVSS v3: 7,4, "alta"), que é uma configuração de segurança que permite que os usuários do UCS executem comandos com privilégios elevados.

As falhas afetam os seguintes produtos da Illumina: As vulnerabilidades não afetam versões de software não especificadas na lista acima, e portanto nenhuma ação precisa ser tomada.

A ação recomendada depende do produto e da configuração específica do sistema, e a Illumina publicou um boletim que aconselha sobre quais etapas tomar em cada caso.

A medida recomendada muitas vezes envolve a atualização do software do sistema usando o instalador específico do produto, a configuração das credenciais da conta UCS e o fechamento das portas do firewall.

A CISA também recomenda que os usuários de dispositivos médicos minimizem a exposição dos sistemas de controle à internet o máximo possível, usando firewalls para isolá-los da rede mais ampla e usando VPNs quando o acesso remoto é necessário.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...